Instalace klienta globálního zabezpečeného přístupu pro Windows

Klient globálního zabezpečeného přístupu je základní součástí globálního zabezpečeného přístupu. Pomáhá organizacím spravovat a zabezpečit síťový provoz na uživatelských zařízeních. Klient směruje provoz, který musí být zabezpečen globálním zabezpečeným přístupem do cloudové služby. Veškerý ostatní provoz směřuje přímo do sítě. Profily předávání, které jste nastavili na portálu, určují, který provoz klient globálního zabezpečeného přístupu směruje do cloudové služby.

Tento článek popisuje, jak stáhnout a nainstalovat klienta globálního zabezpečeného přístupu pro Windows. Globální klient zabezpečeného přístupu je k dispozici také pro macOS, Android a iOS.

Požadavky

• Tenant Microsoft Entra zapojený do Global Secure Access.

• Zařízení připojené nebo zaregistrované (Preview) v integrovaném tenantovi:

  • Zařízení musí být připojeno k Microsoft Entra, připojeno k Microsoft Entra jako hybridní nebo registrováno u Microsoft Entra. Další informace najdete v tématu Přehled klienta globálního zabezpečeného přístupu.
  • Pokud zařízení není připojené nebo zaregistrované, klient globálního zabezpečeného přístupu ho při přihlášení uživatele zaregistruje do tenanta.
  • Pokud zařízení není připojené a má více registrací, přihlaste se pomocí Microsoft Entra uživatele tenanta, ke kterému se má globální zabezpečený přístup připojit.
  • Na zařízeních registrovaných službou Microsoft Entra se podporuje jenom přenos privátního přístupu.

• 64bitová verze Windows 10 (LTSC 2021 nebo novější), Windows 11 nebo arm64 verze Windows 11:

  • Azure Virtual Desktop podporuje režim jedné relace.
  • Podpora více relací pro Azure Virtual Desktop není k dispozici.
  • Windows 365 se podporuje.
  • Windows na zařízeních Arm (jako jsou Surface Pro a Surface Laptop s procesory Snapdragon) vyžadují samostatný instalační program klienta separate client installer. Nepoužívejte standardní instalační program x64 na zařízeních Arm64.

• Přihlašovací údaje místního správce pro instalaci nebo upgrade klienta globálního zabezpečeného přístupu

• Licence. Pro podrobnosti se podívejte na licenční sekci Co je Global Secure Access?. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Stáhnout klienta

Nejnovější verze klienta globálního zabezpečeného přístupu je k dispozici ke stažení z Centrum pro správu Microsoft Entra:

1. Přihlaste se k Centrum pro správu Microsoft Entra jako Global Secure Access Administrator.

2. Přejděte na Global Secure Access>Connect>stažení klienta.

3. Vyberte Stáhnout klienta.

   

Instalace klienta

Automatizovaná instalace

Organizace můžou klienta globálního zabezpečeného přístupu nainstalovat bezobslužně pomocí /quiet přepínače. Nebo můžou k nasazení klienta do svých zařízení použít řešení správy mobilních zařízení (MDM), jako je Microsoft Intune.

Nasazení klienta globálního zabezpečeného přístupu pomocí Microsoft Intune

Tato část vysvětluje, jak pomocí Intune nainstalovat klienta globálního zabezpečeného přístupu na klientské zařízení Windows 11.

Požadavky

• Skupina zabezpečení se zařízeními nebo uživateli, která identifikuje, kde nainstalovat klienta globálního zabezpečeného přístupu.

Zabalit klienta

Zabalte instalační skript do .intunewin souboru:

1. Do zařízení uložte následující skript PowerShellu. Vložte skript PowerShellu a globální instalační program zabezpečeného přístupu .exe do složky.

   Instalační skript PowerShellu nainstaluje klienta globálního zabezpečeného přístupu, nastaví IPv4Preferred klíč registru tak, aby upřednostňoval protokol IPv4 před přenosy IPv6, a vyzve k restartování, aby se změna klíče registru projevila.

   Poznámka

   Název souboru .exe musí být GlobalSecureAccessClient.exe, aby instalační skript PowerShellu fungoval správně. Pokud upravíte název souboru na něco jiného .exe , musíte také upravit $installerPath ve skriptu PowerShellu.

   # Create log directory and log helper
   $logFile = "$env:ProgramData\GSAInstall\install.log"
   New-Item -ItemType Directory -Path (Split-Path $logFile) -Force | Out-Null
   
   function Write-Log {
       param([string]$message)
       $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
       Add-Content -Path $logFile -Value "$timestamp - $message"
   }
   
   try {
       $ErrorActionPreference = 'Stop'
       Write-Log "Starting Global Secure Access client installation."
   
       # IPv4 preferred via DisabledComponents registry value
       $ipv4RegPath    = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters"
       $ipv4RegName    = "DisabledComponents"
       $ipv4RegValue   = 0x20  # Prefer IPv4 over IPv6
       $rebootRequired = $false
   
       # Ensure the key exists
       if (-not (Test-Path $ipv4RegPath)) {
           New-Item -Path $ipv4RegPath -Force | Out-Null
           Write-Log "Created registry key: $ipv4RegPath"
       }
   
       # Get current value if present
       $existingValue = $null
       $valueExists = $false
       try {
           $existingValue = Get-ItemPropertyValue -Path $ipv4RegPath -Name $ipv4RegName -ErrorAction Stop
           $valueExists = $true
       } catch {
           $valueExists = $false
       }
   
       # Determine if we must change it
       $expected = [int]$ipv4RegValue
       $needsChange = -not $valueExists -or ([int]$existingValue -ne $expected)
   
       if ($needsChange) {
           if (-not $valueExists) {
               # Create as DWORD when missing
               New-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -PropertyType DWord -Value $expected -Force | Out-Null
               Write-Log ("IPv4Preferred value missing. Created '{0}' with value 0x{1} (dec {2})." -f $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
           } else {
               # Update if different
               Set-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -Value $expected
               Write-Log ("IPv4Preferred value differed. Updated '{0}' from 0x{1} (dec {2}) to 0x{3} (dec {4})." -f `
                   $ipv4RegName, ([Convert]::ToString([int]$existingValue,16)), [int]$existingValue, ([Convert]::ToString($expected,16)), $expected)
           }
           $rebootRequired = $true
       } else {
           Write-Log ("IPv4Preferred already set correctly: {0}=0x{1} (dec {2}). No change." -f `
               $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
       }
   
       # Resolve installer path
       $ScriptRoot = if ($PSScriptRoot) { $PSScriptRoot } else { Split-Path -Parent $MyInvocation.MyCommand.Path }
       $installerPath = Join-Path -Path $ScriptRoot -ChildPath "GlobalSecureAccessClient.exe"
       Write-Log "Running installer from $installerPath"
   
       if (Test-Path $installerPath) {
           $installProcess = Start-Process -FilePath $installerPath -ArgumentList "/quiet" -Wait -PassThru
   
           if ($installProcess.ExitCode -eq 1618) {
               Write-Log "Another installation is in progress. Exiting with code 1618."
               exit 1618
           } elseif ($installProcess.ExitCode -ne 0) {
               Write-Log "Installer exited with code $($installProcess.ExitCode)."
               exit $installProcess.ExitCode
           }
   
           Write-Log "Installer completed successfully."
       } else {
           Write-Log "Installer not found at $installerPath"
           exit 1
       }
   
       if ($rebootRequired) {
           Write-Log "Reboot required due to registry value creation or update."
           exit 3010  # Soft reboot required
       } else {
           Write-Log "Installation complete. No reboot required."
           exit 0
       }
   }
   catch {
       Write-Log "Fatal error: $_"
       exit 1603
   }
   

2. Přejděte na Microsoft Win32 Content Prep Tool. Vyberte možnost IntuneWinAppUtil.exe.

   

3. V pravém horním rohu vyberte Více akcí se soubory>Stáhnout.

   

4. Přejděte k a spusťte IntuneWinAppUtil.exe. Otevře se příkazový řádek.

5. Zadejte cestu ke složce umístění souboru Globálního zabezpečeného přístupu .exe. Stiskněte klávesu Enter.

6. Zadejte název souboru pro instalaci globálního zabezpečeného přístupu .ps1. Stiskněte klávesu Enter.

7. Zadejte cestu ke složce, do které chcete umístit .intunewin soubor. Stiskněte klávesu Enter.

8. Zadejte N. Vyberte Enter.

   

Soubor .intunewin je připravený k nasazení Microsoft Intune.

Nasazení klienta

Podrobné pokyny najdete v tématu Přidání aplikace Win32 do Intune.

1. Přejděte do centra pro správu Intune.

2. Vyberte Aplikace>Všechny aplikace>Přidat.

3. V Vyberte typ aplikace v části Další typy aplikací vyberte aplikaci Windows (Win32).

4. Zvolte Vybrat. Zobrazí se postup přidání aplikace .

5. Zvolte Vybrat soubor balíčku aplikace.

6. Vyberte ikonu složky. .intunewin Otevřete soubor, který jste vytvořili v předchozí části.

   

7. Vyberte OK.

8. Na kartě Informace o aplikaci nakonfigurujte tyto hodnoty:

   • Název: Zadejte název klientské aplikace.
   • Popis: Zadejte popis.
   • Publisher: Zadejte Microsoft.
   • verze aplikace(volitelné): Zadejte verzi klienta.

9. Pro zbývající nastavení použijte výchozí hodnoty.

   

10. Vyberte Další.

11. Na kartě Program nakonfigurujte tyto hodnoty:

    • Příkaz Install: Použijte původní název souboru .ps1 pro powershell.exe -ExecutionPolicy Bypass -File OriginalNameOfFile.ps1.

    • Příkaz Odinstalování: Enter "GlobalSecureAccessClient.exe" /uninstall /quiet /norestart.

    • Povolit dostupnou odinstalaci: Vyberte Ne.

    • Průběh instalace: Vyberte Systém.

    • chování při restartování zařízení: Vyberte Určit chování na základě návratových kódů. Zadejte následující návratové kódy.

      Návratový kód	Typ kódu
      0	Úspěch
      3010	Rychlé restartování
      1618	Zkusit znovu

    

12. Vyberte Další.

13. Na kartě Požadavky nakonfigurujte tyto hodnoty:

    • Zkontrolujte architekturu operačního systému: Vyberte Ano. Zadejte systémy, na které lze aplikaci nainstalovat. Pak vyberte možnosti Instalovat podle typu systému, do kterého nasazujete.
    • Minimální operační systém: Vyberte minimální požadavky.

14. Zbývající pole nechejte prázdná.

    

    Poznámka

    Windows na zařízeních Arm mají vlastního klienta, který je k dispozici na aka.ms/GlobalSecureAccess-WindowsOnArm.

15. Vyberte Další.

16. Na kartě Pravidla detekce v části Formát pravidel vyberte Ručně konfigurovat pravidla detekce.

17. Vyberte Přidat.

18. Jako typ pravidla vyberte Soubor.

19. Nakonfigurujte tyto hodnoty:

    • cesta: Zadejte C:\Program Files\Global Secure Access Client\TrayApp.
    • Soubor nebo složka: Zadejte GlobalSecureAccessClient.exe.
    • Metoda detekce: Vyberte řetězec (verze).
    • Operátor: Vyberte Větší než nebo rovno.
    • hodnota: Zadejte číslo verze klienta.
    • Přidružené k 32bitové aplikaci na 64bitovém klientu: Vyberte Ne.

    

20. Vyberte OK. Pak vyberte Další.

21. Výběrem možnosti Další dvakrát přejdete na Zadání.

22. V části Povinnévyberte +Přidat skupinu. Vyberte skupinu uživatelů nebo zařízení a pak zvolte Vybrat.

23. Nastavte období odkladu restartování na Povoleno , aby se zabránilo narušení uživatelů při náhlém restartování zařízení.

    

24. Vyberte Další. Pak vyberte Vytvořit.

Poznámka

Nasazení klienta globálního zabezpečeného přístupu na virtuální počítač může potlačit výzvu k restartování zařízení.

Aktualizace verze klienta

Pokud chcete aktualizovat na nejnovější verzi klienta, postupujte podle kroků Aktualizace obchodní aplikace. Kromě nahrávání nového souboru .intunewin nezapomeňte aktualizovat následující nastavení:

• Verze klienta
• Hodnota pravidla detekce nastavená na číslo nové verze klienta

V produkčním prostředí je vhodné nasadit nové verze klientů ve fázovaném nasazení:

1. Nechte existující aplikaci na místě.

2. Přidejte novou aplikaci pro novou verzi klienta opakováním předchozích kroků.

3. Přiřaďte novou aplikaci malé skupině uživatelů pro pilotní nasazení nové verze klienta. Je možné přiřadit tyto uživatele k aplikaci se starou verzí klienta pro místní aktualizaci.

4. Pomalu zvyšte členství pilotní skupiny, dokud nenasadíte nového klienta na všechna požadovaná zařízení.

5. Odstraňte aplikaci se starou verzí klienta.

Konfigurace nastavení klienta globálního zabezpečeného přístupu pomocí Intune

Správci můžou pomocí skriptů pro nápravu v Intune vynucovat ovládací prvky na straně klienta, například zabránit obecným uživatelům v zakázání klienta nebo skrytí konkrétních tlačítek.

Důležité

Nastavte $gsaSettings hodnoty, které vaše organizace vyžaduje v skriptech detekce a nápravy.

Nezapomeňte nakonfigurovat tyto skripty tak, aby běžely v 64bitovém PowerShellu.

Vyberte skripty PowerShell pro jejich rozbalení.

Skript pro detekci PowerShellu

Detekční skript

# Check Global Secure Access registry keys 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 

} 

$nonCompliant = $false 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

$currentValue = (Get-ItemProperty -Path $gsaPath -Name $setting.Key -ErrorAction SilentlyContinue).$($setting.Key) 
 
if ($currentValue -ne $setting.Value) { 
 
    Write-Output "Non-compliant: $($setting.Key) is $currentValue, expected $($setting.Value)" 
 
    $nonCompliant = $true 
 
} 
  

} 

if (-not $nonCompliant) { 

Write-Output "Compliant" 
 
exit 0 
  

} else { 

Write-Output "Non-compliant" 
 
exit 1 
 

} 

Skript pro nápravu PowerShellu

Skript pro nápravu

# Ensure Global Secure Access registry keys are present 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 
  

} 

if (-Not (Test-Path $gsaPath)) { 

New-Item -Path $gsaPath -Force | Out-Null 
  

} 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

Set-ItemProperty -Path $gsaPath -Name $setting.Key -Value $setting.Value -Type DWord -Force | Out-Null 
 
Write-Output "Set $($setting.Key) to $($setting.Value)" 
  

}

Konfigurace nastavení pro Microsoft Entra Přístup k Internetu pomocí Intune

Microsoft Entra Přístup k Internetu nepodporuje provoz DNS přes HTTPS ani rychlá připojení k internetu UDP (QUIC). Pokud chcete toto omezení zmírnit, zakažte tyto protokoly v prohlížečích uživatelů. Následující pokyny obsahují pokyny k vynucování těchto ovládacích prvků pomocí Intune.

Zakázání QUIC v Microsoft Edge a Chromu pomocí Intune

1. V Centru pro správu Microsoft Intune vyberte Devices>Manage devices>Configuration.

2. Na kartě Zásady vyberte + Vytvořit>+ Nové zásady.

3. V dialogovém okně Vytvořit profil :

   • Nastavte Platform na Windows 10 a novější.
   • Nastavte typ profilu na katalog Nastavení.
   • Vyberte Vytvořit. Otevře se formulář Vytvořit profil .

4. Na kartě Základy zadejte název a popis profilu.

5. Vyberte Další.

6. Na kartě Nastavení konfigurace :

   1. Vyberte + Přidat nastavení.
   2. Ve výběru nastavení vyhledejte QUIC.
   3. Z výsledků hledání:
      1. Vyberte Microsoft Edge a pak vyberte nastavení Povolit protokol QUIC.
      2. Vyberte Google Chrome a pak vyberte nastavení Povolit protokol QUIC .
   4. Ve výběru nastavení vyhledejte DNS-over-HTTPS.
   5. Z výsledků hledání:
      1. Vyberte Microsoft Edge a pak vyberte Vládejte režim nastavení DNS-over-HTTPS.
      2. Vyberte Google Chrome a pak vyberte nastavení řízení režimu DNS-over-HTTPS.
   6. Zavřete výběr nastavení.

7. Pro Google Chrome nastavte oba přepínače na Zakázáno.

8. U Microsoft Edge nastavte oba přepínače na Disabled.

   

9. Vyberte Další dvakrát.

10. Na kartě Zadání :

    1. Vyberte Přidat skupiny.
    2. Vyberte skupinu uživatelů nebo zařízení, která chcete zásadu přiřadit.
    3. Vyberte Vybrat.

11. Vyberte Další.

12. Na kartě Revize + vytvořit vyberte Vytvořit.

Konfigurace nastavení prohlížeče Firefox

Správci můžou pomocí skriptů oprav v Intune zakázat DNS přes PROTOKOL HTTPS a QUIC v prohlížeči Firefox.

Nezapomeňte nakonfigurovat tyto skripty tak, aby běžely v 64bitovém PowerShellu.

Výběrem skriptů PowerShellu je rozbalte.

Skript pro detekci PowerShellu

Detekční skript

# Define the path to the Firefox policies.json file 

$destination = "C:\Program Files\Mozilla Firefox\distribution\policies.json" $compliant = $false 

# Check if the file exists 

if (Test-Path $destination) { try { # Read the file content $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { # Parse JSON content $json = $fileContent | ConvertFrom-Json 

       # Check if Preferences exist under policies 
        if ($json.policies -and $json.policies.Preferences) { 
            $prefs = $json.policies.Preferences 
 
            # Convert Preferences to hashtable if needed 
            if ($prefs -isnot [hashtable]) { 
                $temp = @{} 
                $prefs.psobject.Properties | ForEach-Object { 
                    $temp[$_.Name] = $_.Value 
                } 
                $prefs = $temp 
            } 
 
            # Initialize compliance flags 
            $quicCompliant = $false 
            $dohCompliant = $false 
 
            # Check if QUIC is disabled and locked 
            if ($prefs.ContainsKey("network.http.http3.enable")) { 
                $val = $prefs["network.http.http3.enable"] 
                if ($val.Value -eq $false -and $val.Status -eq "locked") { 
                    $quicCompliant = $true 
                } 
            } 
 
            # Check if DNS over HTTPS is disabled and locked 
            if ($prefs.ContainsKey("network.trr.mode")) { 
                $val = $prefs["network.trr.mode"] 
                if ($val.Value -eq 0 -and $val.Status -eq "locked") { 
                    $dohCompliant = $true 
                } 
            } 
 
            # Set overall compliance if both settings are correct 
            if ($quicCompliant -and $dohCompliant) { 
                $compliant = $true 
            } 
        } 
    } 
} catch { 
    Write-Warning "Failed to parse policies.json: $_" 
} 
  

} 

# Output compliance result 

if ($compliant) { Write-Output "Compliant" Exit 0 } else { Write-Output "Non-compliant" Exit 1 } 

Skript pro nápravu PowerShellu

Skript pro nápravu

# Define paths 

$distributionDir = "C:\Program Files\Mozilla Firefox\distribution" $destination = Join-Path $distributionDir "policies.json" $backup = "$destination.bak" 

# Initialize variable for existing JSON 

$existingJson = $null 

# Try to read and parse existing policies.json 

if (Test-Path $destination) { $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { try { $existingJson = $fileContent | ConvertFrom-Json } catch { Write-Warning "Existing policies.json is malformed. Starting fresh." } } } 

#Create a new JSON structure if none exists 

if (-not $existingJson) { $existingJson = [PSCustomObject]@{ policies = [PSCustomObject]@{ Preferences = @{} } } } 

# Ensure policies and Preferences nodes exist 

if (-not $existingJson.policies) { $existingJson | Add-Member -MemberType NoteProperty -Name policies -Value ([PSCustomObject]@{}) } if (-not $existingJson.policies.Preferences) { $existingJson.policies | Add-Member -MemberType NoteProperty -Name Preferences -Value @{} } 

# Convert Preferences to hashtable if needed 

if ($existingJson.policies.Preferences -isnot [hashtable]) { $prefs = @{} $existingJson.policies.Preferences.psobject.Properties | ForEach-Object { $prefs[$.Name] = $.Value } $existingJson.policies.Preferences = $prefs } 

$prefObj = $existingJson.policies.Preferences $updated = $false 

# Ensure QUIC is disabled and locked

if (-not $prefObj.ContainsKey("network.http.http3.enable") -or $prefObj["network.http.http3.enable"].Value -ne $false -or $prefObj["network.http.http3.enable"].Status -ne "locked") { 

$prefObj["network.http.http3.enable"] = @{ 
    Value = $false 
    Status = "locked" 
} 
$updated = $true 
  

} 

# Ensure DNS over HTTPS is disabled and locked 

if (-not $prefObj.ContainsKey("network.trr.mode") -or $prefObj["network.trr.mode"].Value -ne 0 -or $prefObj["network.trr.mode"].Status -ne "locked") { 

$prefObj["network.trr.mode"] = @{ 
    Value = 0 
    Status = "locked" 
} 
$updated = $true 
} 

# If any updates were made, back up and write the new JSON 

if ($updated) { if (Test-Path $destination) { Copy-Item $destination $backup -Force } 

$jsonOut = $existingJson | ConvertTo-Json -Depth 10 -Compress 
$utf8NoBomEncoding = New-Object System.Text.UTF8Encoding($false) 
[System.IO.File]::WriteAllText($destination, $jsonOut, $utf8NoBomEncoding) 
} 

Ruční instalace klienta globálního zabezpečeného přístupu

1. GlobalSecureAccessClient.exe Spusťte instalační soubor. Přijměte licenční podmínky pro software.

2. Klient se nainstaluje a bezobslužně vás přihlásí pomocí přihlašovacích údajů Microsoft Entra. Pokud se tiché přihlášení nezdaří, instalační program vás vyzve, abyste se přihlásili ručně.

3. Ikona připojení se změní na zelenou. Najeďte myší na něj a otevřete oznámení o stavu klienta, které by se mělo zobrazit jako Připojeno.

   

Klientské rozhraní

Pokud chcete otevřít klientské rozhraní globálního zabezpečeného přístupu, vyberte na hlavním panelu systému ikonu Globální zabezpečený přístup. Klientské rozhraní poskytuje zobrazení aktuálního stavu připojení, kanálů nakonfigurovaných pro klienta a přístup k diagnostickým nástrojům.

Zobrazení připojení

Zobrazení Připojení zobrazuje stav klienta a kanály nakonfigurované pro klienta. K dispozici jsou tyto akce:

• Pokud chcete klienta zakázat, vyberte tlačítko Zakázat .
• Při řešení potíží s připojením klienta můžete použít informace v části Další podrobnosti .
• Pokud chcete rozbalit oddíl a zobrazit další informace, vyberte Zobrazit další podrobnosti.

Zobrazení řešení potíží

V zobrazení Řešení potíží můžete:

• Provádění různých diagnostických úloh
• Exportujte a sdílejte protokoly s vaším správcem IT.
• Získejte přístup k rozšířenému diagnostickému nástroji , který poskytuje celou řadu nástrojů pro řešení potíží. (Nástroj Rozšířená diagnostika můžete otevřít také z nabídky ikon na hlavním panelu systému klienta.)

Zobrazení nastavení

Přepněte do zobrazení Settings a zkontrolujte nainstalovanou verzi nebo přejděte k prohlášení o zásadách ochrany osobních údajů Microsoft.

Akce klienta

Pokud chcete zobrazit dostupné akce v nabídce klienta, vyberte na hlavním panelu systému ikonu Globální zabezpečený přístup.

Návod

Akce globálního zabezpečeného přístupu v nabídce klienta závisí na konfiguraci klíčů registru klienta.

Akce	Popis
Odhlásit se	Ve výchozím nastavení je skrytý. Tuto akci použijte, když se potřebujete přihlásit ke klientovi globálního zabezpečeného přístupu pomocí jiného uživatele Microsoft Entra než uživatele, který jste použili k přihlášení k Windows. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta.
Zakázat	Tuto akci vyberte, pokud chcete klienta zakázat. Klient zůstane zakázaný, dokud klienta neaktivujete nebo nerestartujete počítač.
Povolit	Tuto akci vyberte, pokud chcete povolit klienta globálního zabezpečeného přístupu.
Zakázání privátního přístupu	Ve výchozím nastavení je skrytý. Tuto akci použijte, pokud chcete obejít globální zabezpečený přístup při každém připojení zařízení přímo k podnikové síti pro přístup k privátním aplikacím přímo přes síť, nikoli prostřednictvím globálního zabezpečeného přístupu. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta.
Shromáždění protokolů	Tuto akci vyberte, pokud chcete shromažďovat protokoly klienta (informace o klientském počítači, související protokoly událostí pro služby a hodnoty registru) a archivovat je do souboru .zip, který chcete sdílet s podpora Microsoftu pro šetření. Výchozí umístění protokolů je C:\Program Files\Global Secure Access Client\Logs. Protokoly klienta můžete shromažďovat také na Windows zadáním následujícího příkazu na příkazovém řádku: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Pokročilá diagnostika	Tuto akci vyberte, pokud chcete otevřít pokročilou diagnostiku a získat přístup k široké škále nástrojů pro řešení potíží .

Indikátory stavu klienta

Oznámení o stavu

Výběrem ikony Globální zabezpečený přístup otevřete oznámení o stavu klienta a zobrazte stav každého kanálu, který jste nakonfigurovali pro klienta.

Stavy klientů v hlavním panelu systému

Ikona	Zpráva	Popis
	Globální zabezpečený přístup	Klient inicializuje a kontroluje připojení ke globálnímu zabezpečenému přístupu.
	Globální zabezpečený přístup – připojeno	Klient je připojený ke globálnímu zabezpečenému přístupu.
	Globální zabezpečený přístup – zakázáno	Klient je zakázán, protože služby jsou offline nebo uživatel zakázal klienta.
	Globální zabezpečený přístup – Odpojeno	Klientovi se nepodařilo připojit ke globálnímu zabezpečenému přístupu.
	Globální zabezpečený přístup – Některé kanály jsou nedostupné	Klient je částečně připojený ke globálnímu zabezpečenému přístupu. To znamená, že připojení k alespoň jednomu kanálu selhalo: Microsoft Entra, Microsoft 365, privátní přístup, přístup k internetu.
	Globální zabezpečený přístup – Zakázáno vaší organizací	Vaše organizace zakázala klientskou aplikaci. To znamená, že všechny profily pro přesměrování provozu jsou deaktivované.
	Globální zabezpečený přístup – Privátní přístup je zakázaný	Uživatel na tomto zařízení zakázal privátní přístup.
	Globální zabezpečený přístup – nejde se připojit k internetu	Klient nemohl rozpoznat připojení k internetu. Zařízení je buď připojené k síti, která nemá připojení k internetu, nebo je připojená k síti, která vyžaduje přihlášení k portálu v kaptivním přístupu.

Známá omezení

Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.

Řešení problému

Pokud chcete vyřešit potíže s klientem globálního zabezpečeného přístupu, vyberte ikonu klienta na hlavním panelu a pak vyberte jednu z možností řešení potíží: Export protokolů nebo nástroje Rozšířené diagnostiky.

Návod

Správci mohou upravit možnosti v nabídce klienta globálního zabezpečeného přístupu úpravou klíčů registru klienta.

Další informace o řešení potíží s klientem globálního zabezpečeného přístupu najdete v následujících článcích:

• Řešení problémů s klientem služby Global Secure Access pro Windows: Pokročilá diagnostika
• Poradce při potížích s klientem Global Secure Access pro Windows: Karta zdravotního stavu

Doporučení zabezpečení

Pokud chcete zvýšit zabezpečení klienta globálního zabezpečeného přístupu, použijte následující konfigurace.

Upgrade na nejnovější verzi klienta

Pravidelně testujte a nasazujte nejnovější verzi klienta s globálním zabezpečeným přístupem, abyste mohli využívat nové funkce, vylepšení výkonu a opravy zabezpečení. Stáhněte si nejnovější verzi klienta Global Secure Access z Centrum pro správu Microsoft Entra.

Omezení neprivilegovaných uživatelů v zakázání klienta

Správci můžou zabránit neprivilegovaným uživatelům na zařízeních Windows zakázat nebo povolit klienta globálního zabezpečeného přístupu. Toto omezení zajišťuje, že klient zůstane zapnutý a že globální zabezpečený přístup nadále ověřuje a pomáhá zabezpečit síťový provoz. Povolení tohoto omezení vyžaduje zvýšená oprávnění k zakázání klienta.

Než toto omezení vynutíte, nechte uživatele pracovat s klientem globálního zabezpečeného přístupu v neomezeném režimu. Nakonfigurujte klienta pro vaši organizaci, aby se zajistilo, že uživatelé nemusí klienta zakázat v konkrétních scénářích (například pro přístup k určitým webům nebo k paralelnímu používání sítě VPN bez Microsoft).

Pokud chcete zastavit klienta globálního zabezpečeného přístupu na zařízení s omezenými neprivilegovanými uživateli, ujistěte se, že existuje proces, který v případě potřeby používá uživatele s oprávněními místního správce. Další informace o omezení neprivilegovaných uživatelů naleznete v tématu Omezení neprivilegovaných uživatelů.

Skrýt tlačítko Zakázat

Kromě omezení neprivilegovaných uživatelů v zakázání klienta mohou správci skrýt tlačítko Zakázat v nabídce ikon na hlavním panelu klienta. Odebrání tlačítka Zakázat z zobrazení dále snižuje pravděpodobnost, že uživatelé zakáže klienta omylem nebo bez autorizace.

Další informace o skrytí tlačítek nabídky klienta naleznete v tématu Skrýt nebo zobrazit tlačítka nabídky na hlavním panelu systému.

Klíče registru klienta

Klient globálního zabezpečeného přístupu používá k povolení nebo zakázání funkcí specifické klíče registru. Správci můžou k řízení hodnot registru použít řešení MDM, například Microsoft Intune nebo zásady skupiny.

Upozornění

Jiné hodnoty registru neměňte, pokud vám podpora Microsoftu neřekne, abyste je změnili.

Omezení neprivilegovaných uživatelů

Správci můžou zabránit neprivilegovaným uživatelům v zařízení Windows zakázání nebo povolení klienta nastavením následujícího klíče registru: Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client.

Hodnota	Typ	Údaje	Popis
RestrictNonPrivilegedUsers	REG_DWORD	0x0	Neprivilegovaní uživatelé na zařízení Windows můžou klienta zakázat a povolit.
RestrictNonPrivilegedUsers	REG_DWORD	0x1	Neprivilegovaní uživatelé na zařízení s Windows nesmějí zakázat ani povolit klienta. Výzva k řízení uživatelských účtů (UAC) vyžaduje přihlašovací údaje místního správce k zakázání a povolení možností. Správce může také skrýt tlačítko Zakázat (viz Skrýt nebo zobrazit tlačítka nabídky na hlavním panelu systému).

Zakázání nebo povolení privátního přístupu v klientovi

Tato hodnota registru určuje, jestli je pro klienta povolený nebo zakázaný privátní přístup. Pokud je uživatel připojený k podnikové síti, může se rozhodnout obejít globální zabezpečený přístup a přímo přistupovat k privátním aplikacím.

Uživatelé můžou zakázat nebo povolit privátní přístup prostřednictvím nabídky hlavního panelu systému.

Návod

Tato možnost je dostupná jenom v případě, že není skrytá (viz Tlačítka nabídky Skrýt nebo zobrazit na hlavním panelu systému) a pro tohoto tenanta je povolený privátní přístup.

Správci můžou zakázat nebo povolit privátní přístup pro uživatele nastavením následujícího klíče registru: Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client.

Hodnota	Typ	Údaje	Popis
IsPrivateAccessDisabledByUser	REG_DWORD	0x0	Na tomto zařízení je povolený privátní přístup. Síťový provoz do privátních aplikací prochází přes globální zabezpečený přístup.
IsPrivateAccessDisabledByUser	REG_DWORD	0x1	Privátní přístup je na tomto zařízení zakázaný. Síťový provoz do privátních aplikací směřuje přímo do sítě.

Pokud hodnota registru neexistuje, výchozí hodnota je 0x0 a je povolený privátní přístup.

Skrytí nebo zobrazení tlačítek nabídky na hlavním panelu systému

Správci můžou na hlavním panelu klienta zobrazit nebo skrýt konkrétní tlačítka v nabídce ikon. Vytvořte hodnoty pod následujícím klíčem registru: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client.

Hodnota	Typ	Údaje	Výchozí chování	Popis
HideSignOutButton	REG_DWORD	0x0 - zobrazeno 0x1 - skryté	Skrytý	Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Odhlásit se. Tato možnost je určená pro konkrétní scénáře, kdy se uživatel musí přihlásit k klientovi s jiným Microsoft Entra uživatelem, než který se používá k přihlášení k Windows. Poznámka: Ke klientovi se musíte přihlásit pomocí uživatele ve stejném tenantovi Microsoft Entra, ke kterému je zařízení připojené. K opětovnému ověření existujícího uživatele můžete také použít akci Odhlásit.
HideDisablePrivateAccessButton	REG_DWORD	0x0 - zobrazeno 0x1 - skryté	Skrytý	Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat privátní přístup . Tato možnost je určená pro scénář, kdy je zařízení přímo připojené k podnikové síti a uživatel preferuje přístup k privátním aplikacím přímo přes síť místo prostřednictvím globálního zabezpečeného přístupu.
HideDisableButton	REG_DWORD	0x0 - zobrazeno 0x1 - skryté	Zobrazený	Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat . Když je akce viditelná, může uživatel zakázat klienta globálního zabezpečeného přístupu. Klient zůstane zakázaný, dokud ho uživatel znovu neaktivuje. Pokud je akce Zakázat skrytá, neprivilegovaný uživatel nemůže klienta zakázat.

Další informace najdete v tématu Guidance pro konfiguraci protokolu IPv6 v Windows pro pokročilé uživatele.

Související obsah

• Instalace klienta globálního zabezpečeného přístupu pro macOS
• Instalace klienta globálního zabezpečeného přístupu pro Android
• Instalace klienta globálního zabezpečeného přístupu pro iOS